Меню
Поиск

Wired vs Wireless Firewall

6 июнь, 2011 - 17:54Арсен Бандурян

Нашел в интернете компактные описания классических L2 атак: ARP Poisoning и DHCP Spoofing. Классические методы противодействия - ARP и DHCP Inspection на коммутаторе. А вот в случае беспроводной сети - уже так просто не отделаться.

Причина проста - в случае Ethernet-коммутации все пользователи сидят в отдельных L1 доменах, и общаются через центральную точку (коммутатор), который создает L2 домен и обладает полным контролем над трафиком. Достаточно настроить правильные фильтры на портах - и дело сделано.

В случае Wi-Fi все сидят в одном L1 домене. Поэтому фильтруй-не фильтруй, а пакеты проходить будут. Теоретически, можно запретить мобильным устройствам общаться напрямую, но:

  • Большинство реализаций firewall'а на точках доступа фильтруют трафик между беспроводным и проводным интерфейсами, и не могут фильтровать трафик между двумя беспроводными клиентами. К сожалению, это так почти для всех вендоров первого эшелона Enterprise WLAN.
  • То, что точка предписывает клиентам не общаться напрямую, еще не значит, что они не будут. Модифицировать драйвер для игнорирования этой опции не так и сложно.

Корпоративные пользователи могли бы тут возразить, что все это проблема открытых хотспотов (если только вы не корпоративный пользователь предоставляющий хотспоты) и прочих домашних/гостевых сетей. И я бы согласился, если бы не проблема украденных ноутбуков/смартфонов, содержащих кешированные PSK, которые в вскрываются на ура с помощью CUDA с 2008г. Так вот зная PSK можно вообще заниматься вбросом трафика в эфир не особо реагируя на все предписания и фильтрацию со стороны точки доступа (это не всегда верно, но для обсуждения этого вопроса нужно довольно глубоко погружаться в детали).

Использование 802.1/EAP, который как бы безопаснее (никаких PSK не хранится, у каждого пользователя свой индивидуальный динамический ключ) не всегда спасает, т.к. для широковещательного трафика все равно используется отдельный общий для всех ключ (ну, по другому и не вышло бы, иначе это уже не броадкаст). Так что с точки зрения броадкастных атак разницы между EAP/PSK особой нет.

Кстати, именно из-за этого ключа и была поднята жутко маркетинговая буча с Hole 196 (можете почитать на сайте "изобретателей").

Кроме того, если в случае проводного Ethernet атака таки прошла успешно, то по MAC-адресу злоумышленника можно всегда вычислить порт коммутатора и отключить его удаленно. В случае Wi-Fi злоумышленника найти сложнее. Можно попытаться его отключить от точки, послав фрейм диссоциации, но опять же, подправленный драйвер может его смело проигнорировать.

Все это приводит к следующим выводам и рекомендациям:

  • Если не нужно, чтобы пользователи общались друг с другом - лучше им это запретить. Просто исходя из того, что  злоумышленников с немодифицированными драйверами несколько больше, чем тех, кто сумел такой драйвер раздобыть. Заодно отсекаются всякие "развлекающиеся" сотрудники.
  • В последнее время доля коммуникаций типа "воздух-воздух" в Wi-Fi сетях растет, и предпосылок для остановки этого роста нет. Так что желательно выбирать оборудование, которое уже сейчас уделяет вопросу фильтрации во WLAN досточное внимание.
  • Очевидное - не стоит использовать WEP и TKIP. Скажем так, если использовать WPA2 (даже с PSK), то описаный выше вброс трафика без ассоциации с ТД становится в порядки сложнее.
  • По-возможности вместо PSK лучше использовать EAP. Скажем, тот же DHCP протокол в какой-то момент переходит на unicast'ы, и они уже мимо точки не пройдут (если точка таки умеет фильтровать трафик во WLAN). Большинство нормальных точек доступа имеют встроенный RADIUS-сервер, а большинство хороших - RADIUS-прокси с возможностью интеграции с AD. Так что настройка этого механизма не так и сложна. При грамотной реализации пользователи Windows подключаются со своими обычными именем/паролем, и даже на iPhone (вот тут стоит отдать честь Apple) все довольно просто.
  • Кроме того, не стоит пренебрегать опцией Broadcast Key Rotation (если она у вас есть), которая динамическт меняет GTK через заданный интервал времени. Заодно избавитесь от Hole196 :)

Ну и последнее. Как было показано выше, даже самая рассовременная фильтрация от грамотно спланированного взлома не спасет. И местоположение взломщика не выдаст. Так что в очень скором времени ни одна по-настоящему серьезная Enterprise WLAN без WIPS не обойдется. Ну, хотя бы интегрированной в контроллер. Вот так...

Да, ссылки